تراخيص الأجهزة المتعددة (خصومات كبيرة)
Computer Security إساءة استخدام خوادم MS Exchange في حملة التصيد الاحتيالي

إساءة استخدام خوادم MS Exchange في حملة التصيد الاحتيالي

بواسطة Mura في Computer Security
ترجمة الى:
العربية

حملة جديدة تعمل بنشاط على نشر حصان طروادة المصرفي IcedID . هذه المرة ، يستخدم المهاجمون خوادم Microsoft Exchange التي سبق لهم اختراقها لنشر البرامج الضارة.

تستخدم الحملة رسائل البريد الإلكتروني المخادعة ، والتي تم التلاعب بها لتظهر كما لو أنها صادرة من مصادر صحيحة وجديرة بالثقة ، مما يضمن معدل تحويل أفضل لرسائل البريد الإلكتروني المرسلة إلى حالات العدوى الناجحة.

يحاول المتسللون أساليب مراوغة جديدة

تم اكتشاف الحملة الحالية من قبل فريق من الباحثين بشركة Intezer الأمنية. على السطح ، يبدو أن المتسللين وراء الحملة لا يفعلون أي شيء مبتكر بشكل كبير. اعتمدت حملات التصيد الاحتيالي القديمة على استخدام حسابات البريد الإلكتروني التي تم اختراقها مسبقًا لإرسال بريد التصيد الاحتيالي ، مما أضاف إحساسًا زائفًا بالشرعية إلى الرسائل.

ومع ذلك ، فقد أضافوا هذه المرة تكتيكات تهرب جديدة تجعل التسليم الناجح لحمولة طروادة النهائية إلى الهدف أكثر احتمالًا.

يرسل المتسللون بريد التصيد الاحتيالي باستخدام خوادم بريد Microsoft Exchange لطرد رسائل البريد الإلكتروني الضارة. ومع ذلك ، فهم يستخدمون أيضًا طبقة إضافية من التهرب عندما يتعلق الأمر بالحمولة الفعلية.

بدلاً من وضع المحتوى الضار في مستندات المكتب ، مثل حملات التصيد الاحتيالي التي تم القيام بها على مر العصور ، وإخفاء وحدات الماكرو الضارة داخل ملف MS Office ، على سبيل المثال ، انتقل المتسللون الآن إلى استخدام ملفات الأرشيف وصور القرص. وهذا يسمح لهم بتجاوز آليات الحماية المتكاملة في كل من MS Office و Windows ، والتي تسمى "Mark-of-the-web" أو MOTW. يتضمن MOTW إجراءات وقائية محددة عندما يتعلق الأمر بالملفات التي تم تنزيلها من الويب ، بما في ذلك فتح الملفات في طريقة العرض المحمية في تطبيقات Office.

ومع ذلك ، فإن استخدام ملفات الأرشيف وصور قرص .iso يسمح للمتسللين بالتحايل على طبقة الحماية هذه ، حيث سيتم تمييز أنواع الملفات هذه باستخدام MOTW ، ولكن قد لا يتم تمييز الملفات الموجودة بداخلها.

تستخدم رسائل البريد الإلكتروني المخادعة المستخدمة لنشر IcedID ما يسمى "اختطاف الخيط" - باستخدام سلسلة بريد إلكتروني موجودة للتواصل بين الضحية والحساب المخترق. هذا يضفي مصداقية إضافية على الإغراء.

العمل كالمعتاد بمجرد نشر الحمولة

يحتوي البريد الإلكتروني على ملف أرشيف مرفق ، محمي بكلمة مرور. كلمة المرور موجودة في مكان ملائم في البريد الإلكتروني. يحتوي الأرشيف على ملف صورة قرص .iso ، والذي يحتوي بدوره على ملف main.dll وملف document.lnk اختصار. تؤدي محاولة فتح "المستند" إلى نشر الحمولة في نظام الضحية ، باستخدام ملف main.dll لخرق النظام.

مع تطور سلاسل الهجمات ، فإن البقاء في مأمن من التهديدات المماثلة لا يرجع فقط إلى بروتوكول أمان قوي ولكن أيضًا إلى الوعي الشخصي وتجنب الأخطاء البشرية الجسيمة.

جار التحميل...